Uso de Honeypots de Baixa Interatividade na Resposta a...
Transcript of Uso de Honeypots de Baixa Interatividade na Resposta a...
Uso de Honeypots de Baixa Interatividadena Resposta a Incidentes de Segurança
NIC BR Security Office – NBSO
Brazilian Computer Emergency Response Team
Comite Gestor da Internet no Brasil
http://www.nbso.nic.br/
Uso de Honeypots de Baixa interatividade na Resposta a Incidentes de Seguranca – GTS 01.2004 – p.1/18
Roteiro
• Consórcio brasileiro de honeypots
• Uso dos dados pelo NBSO
– identificação do tráfego malicioso
– envio de notificações
• Atividades observadas
– worms/vírus
– origem das atividades
– sistemas operacionais de origem
• ConclusõesUso de Honeypots de Baixa interatividade na Resposta a Incidentes de Seguranca – GTS 01.2004 – p.2/18
Consórcio Brasileiro de Honeypots
• Honeypots são mantidos pelas instituiçõesconsorciadas
• Objetivo de aumentar, no espaço Internetbrasileiro, a capacidade de:
– detecção de incidentes
– correlação de eventos
– determinação de tendências de ataques
• Utilização dos dados por grupos de respostaa incidentes
Uso de Honeypots de Baixa interatividade na Resposta a Incidentes de Seguranca – GTS 01.2004 – p.3/18
Consórcio Brasileiro de Honeypots
http://www.honeypots-alliance.org.br/
Uso de Honeypots de Baixa interatividade na Resposta a Incidentes de Seguranca – GTS 01.2004 – p.4/18
Uso dos Dados pelo NBSO
• Identificação de ataques conhecidos
– detecção de servidores comprometidosrealizando varreduras
• Detecção de worms/vírus:
– mostram um número enorme de máquinasvulneráveis, facilmente exploráveis
• Comparação com incidentes reportadosvoluntariamente
Uso de Honeypots de Baixa interatividade na Resposta a Incidentes de Seguranca – GTS 01.2004 – p.5/18
Uso dos Dados pelo NBSO (cont)
• Uma vez identificada a atividade maliciosa:
– identificados IPs de origem brasileiros
– logs são agrupados por IP de origem
– os contatos são determinados (whois,CSIRTs, etc)
– montagem e envio dos emails
* podem ser agrupados por contato
Uso de Honeypots de Baixa interatividade na Resposta a Incidentes de Seguranca – GTS 01.2004 – p.6/18
Detecção do tráfego malicioso
• pelo cabeçalho do pacote (src port, dst port,TTL, etc)
• por conteúdo
• Exemplo:
ip[8] <= 128 and
ip[8] >= 64 and
ip[2:2] == 92 and
icmp[0] == 8 and
icmp[24:2] == 0xaaaa
Uso de Honeypots de Baixa interatividade na Resposta a Incidentes de Seguranca – GTS 01.2004 – p.7/18
Atividades Observadas
Uso de Honeypots de Baixa interatividade na Resposta a Incidentes de Seguranca – GTS 01.2004 – p.8/18
Nachi
200
300
400
500
600
700
800
900
1000
1100
1200
10/01 24/01 07/02 21/02 06/03 20/03
Not
ifica
ções
Env
iada
s (a
cum
ulad
o)
2004
Nachi
Uso de Honeypots de Baixa interatividade na Resposta a Incidentes de Seguranca – GTS 01.2004 – p.9/18
Slammer
0
20
40
60
80
100
120
10/01 24/01 07/02 21/02 06/03 20/03
Not
ifica
ções
Env
iada
s (a
cum
ulad
o)
2004
Slammer
Uso de Honeypots de Baixa interatividade na Resposta a Incidentes de Seguranca – GTS 01.2004 – p.10/18
Blaster (DCOM RPC)
0
50
100
150
200
250
10/01 24/01 07/02 21/02 06/03 20/03
Not
ifica
ções
Env
iada
s (a
cum
ulad
o)
2004
Blaster
Uso de Honeypots de Baixa interatividade na Resposta a Incidentes de Seguranca – GTS 01.2004 – p.11/18
Kuang
0
20
40
60
80
100
10/01 24/01 07/02 21/02 06/03 20/03
Not
ifica
ções
Env
iada
s (a
cum
ulad
o)
2004
Kuang (17300/TCP)
Uso de Honeypots de Baixa interatividade na Resposta a Incidentes de Seguranca – GTS 01.2004 – p.12/18
Code Red
0
500
1000
1500
2000
2500
3000
3500
4000
07/02 14/02 21/02 28/02 06/03 13/03 20/03 27/03
Not
ifica
ções
Env
iada
s
2004
Code Red
Uso de Honeypots de Baixa interatividade na Resposta a Incidentes de Seguranca – GTS 01.2004 – p.13/18
Scan por Open Proxy
0
50
100
150
200
250
300
350
400
450
10/01 24/01 07/02 21/02 06/03 20/03
Not
ifica
ções
Env
iada
s (a
cum
ulad
o)
2004
Scans por openproxy
Uso de Honeypots de Baixa interatividade na Resposta a Incidentes de Seguranca – GTS 01.2004 – p.14/18
Dameware e Mydoom
0
500
1000
1500
2000
2500
3000
3500
4000
06/03 13/03 20/03 27/03
Not
ifica
ções
Env
iada
s (a
cum
ulad
o)
2004
Dameware (6129/TCP)Mydoom
Uso de Honeypots de Baixa interatividade na Resposta a Incidentes de Seguranca – GTS 01.2004 – p.15/18
Redes de Origem
0
50000
100000
150000
200000
250000
300000
350000
US CN JP KR CA BR FR DE TW UK
IPs
únic
os d
e or
igem
origem dos IPs observados
Uso de Honeypots de Baixa interatividade na Resposta a Incidentes de Seguranca – GTS 01.2004 – p.16/18
Sistemas Operacionais de Origem
10^2
10^3
10^4
10^5
10^6
10^7
10^8
Windowsunknown
LinuxNetApp
SolarisOpenBSD
NMAPFreeBSD
CiscoNovell
Pac
otes
SY
Ns
envi
ados
Sistemas Operacionais de Origem
Uso de Honeypots de Baixa interatividade na Resposta a Incidentes de Seguranca – GTS 01.2004 – p.17/18
Conclusões
• Atualmente temos um “Ruído de fundo” naInternet
• Baixo índice de falso positivos
• Evolução das ferramentas de ataque (“API”de exploits)
• A eficácia das notificações dependem daspontas
– CSIRTs atuantes
– Contatos técnicos atualizados
Uso de Honeypots de Baixa interatividade na Resposta a Incidentes de Seguranca – GTS 01.2004 – p.18/18